CA信息安全解决方案
省数字证书认证中心
身份鉴
()基求
1应提供专登录控制模块登录户进行身份标识鉴
2应提供登录失败处理功采取结束会话限制非法登录次数动退出等措施
3应启身份鉴户身份标识唯性检查户身份鉴信息复杂度检查登录失败处理功根安全策略配置相关参数
4应提供户身份标识唯鉴信息复杂度检查功保证应系统中存重复户身份标识身份鉴信息易
5应户采两种两种组合鉴技术实现户身份鉴
(二)实现方式
通部署PKICA应系统相结合实现该项技术求
(三)部署方式
详细部署方式参见应安全支撑系统系统设计
二访问控制
()基求
1应提供访问控制功控制户组户系统功户数访问
2应授权体配置访问控制策略严格限制默认户访问权限
3应提供访问控制功安全策略控制户文件数库表等客体访问
4访问控制覆盖围应包括资源访问相关体客体间操作
5应授予账户完成承担务需权限间形成相互制约关系
6应具重信息资源设置敏感标记功
7应安全策略严格控制户敏感标记重信息资源操作
(二)实现方式
通部署PKICA应系统相结合实现该项技术求
(三)部署方式
详细部署方式参见应安全支撑系统系统设计
三通信完整性性
()基求
1应采约定通信会话方式方法保证通信程中数完整性
2应采密码技术保证通信程中数完整性
3通信双方建立连接前应系统应利密码技术进行会话初始化验证
4应通信程中整报文会话程进行加密
(二)实现方式
应通应数加密实现数完整性性安全
四抗抵赖
()基求
1应具请求情况数原发者接收者提供数原发证功
2应具请求情况数原发者接收者提供数接收证功
(二)实现方式
抗抵赖功常见实现方式通PKI数字签名数字水印CA等技术实现
(三)部署方式
通部署CA实现应抗抵赖功
五数完整性
()基求
1应够检测重户数传输程中完整性受破坏
2应够检测鉴信息重业务数传输程中完整性受破坏
3应够检测系统理数鉴信息重业务数传输程中完整性受破坏检测完整性错误时采取必恢复措施
4应够检测系统理数鉴信息重业务数存储程中完整性受破坏检测完整性错误时采取必恢复措施
(二)实现方式
通Hash校验方法确保数完整性传输程完整性受损坏采取数重传机制
存储数应采取备份方式防止单数损坏造成损失
(三)部署方式
1针应数完整性保护采Hash校验进行安全编程时采
2针应存储数进行完整性保护时应采种备份机制进行恢复
六数性
()基求
1应采加密保护措施实现鉴信息存储性
1应采加密效措施实现系统理数鉴信息重业务数传输性
2应采加密保护措施实现系统理数鉴信息重业务数存储性
(二)实现方式
身份验证阶段数传输阶段加密形式传输数通常方法SSLTLS等方式VPN专协议传输
存储重数需采取加密手段进行保存身加密方式存储数传输程中适降低传输程中加密求
(三)部署方式
l 通部署CAVPN方式实现
l 通采支持MD5方式存储实现
七应安全支撑系统设计
应安全支撑台面电子政务应构建网络基础设施系统台安全保障体系基础电子政务系统提供体化政务应安全支撑
1应安全支撑系统整体结构
应安全支撑系统基数字证书构建安全认证加密传输加密存储系统政务应系统网络提供安全支撑服务信远程应访问网业务安全服务数保护安全电子应等
应安全支撑系统设计安全认证网关安全存储控制服务器签名验证模块接口等组成组成逻辑结构图示:
图表 17 应安全支撑系统结构
图示应系统通引入应安全支撑系统利数字证书服务类应系统提供具特定安全功服务图示应安全支撑系统实现应安全基础实现基CA中心数字证书安全建设桥梁
2 信数字证书解决方案
基应安全支撑系统结合数字证书实现信保障具体实现设计采安全认证网关实现 s访问
加入安全认证网关系统结构:
图表 18 信应结构示意
权威证书中心申请站点证书便采 s方式进行访问户浏览器验证站点证书判真实性
3 应远程访问(BSCS)安全设计
基安全认证网关应远程访问实现安全身份认证数安全传输
BS应系统浏览器带SSL模块需服务端部署安全认证网关CS应系统必须客户端服务端时部署安全认证网关相应客户端安全接口CS应够真正获取户证书信息客户端需部署签名模块服务端部署签名验证模块应系统进行防护系统结构:
图表 19应远程访问结构示意
安全防护BS应访问流程:
l 户浏览器访问应系统
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器户证书信息添加 请求中
l 应服务器 请求中获取户身份进行访问控制户提供服务
安全防护CS应访问流程:
l 客户端服务端发起连接请求
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器
l 服务端返回会话特征数
l 客户端调签名控件户私钥数进行签名签名数证书发送服务端
l 服务端接收特征数户证书户签名特征数起传送签名验证模块请求验证
l 签名验证模块验证签名效性服务端返回验证结果
l 服务端根验证结果做出判断验证出错断开连接验证通获取证书中信息作户标志户赋予相应权限进行操作
4 网业务(办公交易)安全设计
基应安全支撑系统实现政务网业务高强度身份认证数传输数完整性保障抵赖性数字证书全面支持户致性认证
进行安全防护应系统结构:
图表 20网业务安全应示意
系统访问流程:
l 户访问应系统
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器户证书信息添加请求中
l 应服务器请求中获取户身份进行访问控制户提供服务
系统抵赖性流程:
l 系统交易开始(户撰写公文)
l 户数字证书交易数进行数字签名(户数字证书理电子印迹加盖公文)
l 系统数字签名数(加电子印迹公文)传送服务端
l 服务端通签名验证服务器验证签名数(通电子印迹系统验证加盖电子印迹公文效性)
l 验证成功保存签名数(加电子印迹公文)作证
5 数保护设计
基应安全支撑台数字信封技术实现数网络集中安全存储系统文件服务器开辟私空间存放中文件进行严格授权验证存储资料够安全集中理进行统效备份达资料更安全存储时系统实现灵活安全授权达数享需求
基应安全支撑系统数保护实现网络结构图示:
图表 19基网络安全存储系统架构
图中示应安全支持台实现数保护功实现程包括文件加密保存程文件程
6 文件加密保存
(1)系统中加密保存文件程:
l 生成机加密密钥
l 该密钥明文进行加密
l 载权该文件户证书制作数字信封
l 密文文件数字信封传文件服务器
l 控制器中增记录
图表 22文件加密保存程
(2)文件
系统中户文件程:
l 控制服务器文件存放位置
l 文件服务器载密文文件数字信封
l 私钥解开数字信封加密密钥
l 加密密钥解密文件
图表 21 文件程
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
CA信息安全解决方案
省数字证书认证中心
身份鉴
()基求
1应提供专登录控制模块登录户进行身份标识鉴
2应提供登录失败处理功采取结束会话限制非法登录次数动退出等措施
3应启身份鉴户身份标识唯性检查户身份鉴信息复杂度检查登录失败处理功根安全策略配置相关参数
4应提供户身份标识唯鉴信息复杂度检查功保证应系统中存重复户身份标识身份鉴信息易
5应户采两种两种组合鉴技术实现户身份鉴
(二)实现方式
通部署PKICA应系统相结合实现该项技术求
(三)部署方式
详细部署方式参见应安全支撑系统系统设计
二访问控制
()基求
1应提供访问控制功控制户组户系统功户数访问
2应授权体配置访问控制策略严格限制默认户访问权限
3应提供访问控制功安全策略控制户文件数库表等客体访问
4访问控制覆盖围应包括资源访问相关体客体间操作
5应授予账户完成承担务需权限间形成相互制约关系
6应具重信息资源设置敏感标记功
7应安全策略严格控制户敏感标记重信息资源操作
(二)实现方式
通部署PKICA应系统相结合实现该项技术求
(三)部署方式
详细部署方式参见应安全支撑系统系统设计
三通信完整性性
()基求
1应采约定通信会话方式方法保证通信程中数完整性
2应采密码技术保证通信程中数完整性
3通信双方建立连接前应系统应利密码技术进行会话初始化验证
4应通信程中整报文会话程进行加密
(二)实现方式
应通应数加密实现数完整性性安全
四抗抵赖
()基求
1应具请求情况数原发者接收者提供数原发证功
2应具请求情况数原发者接收者提供数接收证功
(二)实现方式
抗抵赖功常见实现方式通PKI数字签名数字水印CA等技术实现
(三)部署方式
通部署CA实现应抗抵赖功
五数完整性
()基求
1应够检测重户数传输程中完整性受破坏
2应够检测鉴信息重业务数传输程中完整性受破坏
3应够检测系统理数鉴信息重业务数传输程中完整性受破坏检测完整性错误时采取必恢复措施
4应够检测系统理数鉴信息重业务数存储程中完整性受破坏检测完整性错误时采取必恢复措施
(二)实现方式
通Hash校验方法确保数完整性传输程完整性受损坏采取数重传机制
存储数应采取备份方式防止单数损坏造成损失
(三)部署方式
1针应数完整性保护采Hash校验进行安全编程时采
2针应存储数进行完整性保护时应采种备份机制进行恢复
六数性
()基求
1应采加密保护措施实现鉴信息存储性
1应采加密效措施实现系统理数鉴信息重业务数传输性
2应采加密保护措施实现系统理数鉴信息重业务数存储性
(二)实现方式
身份验证阶段数传输阶段加密形式传输数通常方法SSLTLS等方式VPN专协议传输
存储重数需采取加密手段进行保存身加密方式存储数传输程中适降低传输程中加密求
(三)部署方式
l 通部署CAVPN方式实现
l 通采支持MD5方式存储实现
七应安全支撑系统设计
应安全支撑台面电子政务应构建网络基础设施系统台安全保障体系基础电子政务系统提供体化政务应安全支撑
1应安全支撑系统整体结构
应安全支撑系统基数字证书构建安全认证加密传输加密存储系统政务应系统网络提供安全支撑服务信远程应访问网业务安全服务数保护安全电子应等
应安全支撑系统设计安全认证网关安全存储控制服务器签名验证模块接口等组成组成逻辑结构图示:
图表 17 应安全支撑系统结构
图示应系统通引入应安全支撑系统利数字证书服务类应系统提供具特定安全功服务图示应安全支撑系统实现应安全基础实现基CA中心数字证书安全建设桥梁
2 信数字证书解决方案
基应安全支撑系统结合数字证书实现信保障具体实现设计采安全认证网关实现 s访问
加入安全认证网关系统结构:
图表 18 信应结构示意
权威证书中心申请站点证书便采 s方式进行访问户浏览器验证站点证书判真实性
3 应远程访问(BSCS)安全设计
基安全认证网关应远程访问实现安全身份认证数安全传输
BS应系统浏览器带SSL模块需服务端部署安全认证网关CS应系统必须客户端服务端时部署安全认证网关相应客户端安全接口CS应够真正获取户证书信息客户端需部署签名模块服务端部署签名验证模块应系统进行防护系统结构:
图表 19应远程访问结构示意
安全防护BS应访问流程:
l 户浏览器访问应系统
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器户证书信息添加 请求中
l 应服务器 请求中获取户身份进行访问控制户提供服务
安全防护CS应访问流程:
l 客户端服务端发起连接请求
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器
l 服务端返回会话特征数
l 客户端调签名控件户私钥数进行签名签名数证书发送服务端
l 服务端接收特征数户证书户签名特征数起传送签名验证模块请求验证
l 签名验证模块验证签名效性服务端返回验证结果
l 服务端根验证结果做出判断验证出错断开连接验证通获取证书中信息作户标志户赋予相应权限进行操作
4 网业务(办公交易)安全设计
基应安全支撑系统实现政务网业务高强度身份认证数传输数完整性保障抵赖性数字证书全面支持户致性认证
进行安全防护应系统结构:
图表 20网业务安全应示意
系统访问流程:
l 户访问应系统
l 安全认证网关求户提交户数字证书
l 户登录USBKEY提交证书
l 安全认证网关验证户证书包括证书身效性信证书链黑
l 验证通安全认证网关请求发送真正应服务器户证书信息添加请求中
l 应服务器请求中获取户身份进行访问控制户提供服务
系统抵赖性流程:
l 系统交易开始(户撰写公文)
l 户数字证书交易数进行数字签名(户数字证书理电子印迹加盖公文)
l 系统数字签名数(加电子印迹公文)传送服务端
l 服务端通签名验证服务器验证签名数(通电子印迹系统验证加盖电子印迹公文效性)
l 验证成功保存签名数(加电子印迹公文)作证
5 数保护设计
基应安全支撑台数字信封技术实现数网络集中安全存储系统文件服务器开辟私空间存放中文件进行严格授权验证存储资料够安全集中理进行统效备份达资料更安全存储时系统实现灵活安全授权达数享需求
基应安全支撑系统数保护实现网络结构图示:
图表 19基网络安全存储系统架构
图中示应安全支持台实现数保护功实现程包括文件加密保存程文件程
6 文件加密保存
(1)系统中加密保存文件程:
l 生成机加密密钥
l 该密钥明文进行加密
l 载权该文件户证书制作数字信封
l 密文文件数字信封传文件服务器
l 控制器中增记录
图表 22文件加密保存程
(2)文件
系统中户文件程:
l 控制服务器文件存放位置
l 文件服务器载密文文件数字信封
l 私钥解开数字信封加密密钥
l 加密密钥解密文件
图表 21 文件程
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
